/ /

Comandos de base de datos

Gestión de usuarios

Docs Home

Manual de MongoDB

Referencia

Comandos de base de datos

Gestión de usuarios

updateUser

Esta versión de la documentación está archivada y ya no recibe soporte. Para actualizar su implementación 5.0, consulte Procedimientos de actualización de MongoDB.6.0

Definición

updateUser: Actualiza el perfil del usuario en la base de datos donde se ejecuta el comando. Una actualización de un campo reemplaza completamente los valores del campo anterior, incluyendo las actualizaciones de roles las authenticationRestrictions matrices y del usuario.
Advertencia
Al actualizar la matriz roles, se reemplazan completamente los valores de la matriz anterior. Para agregar o eliminar roles sin reemplazar todos los roles existentes del usuario, utilice el comando grantRolesToUser Comandos revokeRolesFromUser o.

Compatibilidad

Este comando está disponible en implementaciones alojadas en los siguientes entornos:

MongoDB Atlas: El servicio totalmente gestionado para implementaciones de MongoDB en la nube

Importante

Este comando no es compatible con clústeres M,0 M,2 M5 y M10+. Para obtener más información, consulte Comandos no compatibles.

MongoDB Enterprise: La versión basada en suscripción y autogestionada de MongoDB
MongoDB Community: La versión de MongoDB con código fuente disponible, de uso gratuito y autogestionada.

Sintaxis

El comando utiliza la siguiente sintaxis. Para actualizar un usuario, debe especificar updateUser el updateUser campo y al menos otro campo,writeConcern excepto:

Tip

Puede usar el método junto con varios métodos o comandos de autenticación/gestión de usuarios para solicitar la contraseña en lugar de passwordPrompt() mongo especificarla directamente en la llamada al método/comando. Sin embargo, puede especificarla directamente como lo hacía con versiones anteriores del shell.

{
  updateUser: "<username>",
  pwd: passwordPrompt(),      // Or  "<cleartext password>"
  customData: { <any information> },
  roles: [
    { role: "<role>", db: "<database>" } | "<role>",
    ...
  ],
  authenticationRestrictions: [
      {
        clientSource: ["<IP>" | "<CIDR range>", ...],
        serverAddress: ["<IP>", | "<CIDR range>", ...]
      },
      ...
  ],
  mechanisms: [ "<scram-mechanism>", ... ],
  digestPassword: <boolean>,
  writeConcern: { <write concern> },
  comment: <any>
}

Campos de comandos

El comando toma los siguientes campos:

Campo	Tipo	Descripción
`updateUser`	string	El nombre del usuario a actualizar.
`pwd`	string	Opcional. La contraseña del usuario. El valor puede ser: la contraseña del usuario en string de texto sin formato, o `passwordPrompt()` para solicitar la contraseña del usuario. Puede usar el método junto con varios métodos o comandos de autenticación/gestión de usuarios para solicitar la contraseña en lugar de `passwordPrompt()` `mongo` especificarla directamente en la llamada al método/comando. Sin embargo, puede especificarla directamente como lo hacía con versiones anteriores del shell.
`customData`	Documento	Opcional. Cualquier información arbitraria.
`roles`	arreglo	Opcional. Los roles asignados al usuario. Una actualización de la matriz `roles` anula los valores de la matriz anterior.
`writeConcern`	Documento	Opcional. El nivel de escritura para la operación de actualización. El `writeConcern` documento utiliza los mismos campos que el `getLastError` comando.
`authenticationRestrictions`	arreglo	Opcional. Las restricciones de autenticación que el servidor impone al usuario. Especifica una lista de direcciones IP y RangosCIDR desde los cuales el usuario puede conectarse al servidor o desde los cuales el servidor puede aceptar usuarios.
`mechanisms`	arreglo	Opcional. El mecanismo o mecanismos SCRAM específicos para las credenciales de usuario. Si se especifica, solo se puede especificar un `authenticationMechanisms` subconjunto `authenticationMechanisms` de. Si se actualiza el campo de mecanismos sin la contraseña, solo se puede especificar un subconjunto de los mecanismos actuales del usuario y solo se conservan las credenciales de usuario existentes para el mecanismo o los mecanismos especificados. Si se actualiza la contraseña junto con los mecanismos, se almacena un nuevo conjunto de credenciales para el usuario. Los valores válidos son: `"SCRAM-SHA-1"` - Utiliza la función hash `SHA-1`. `"SCRAM-SHA-256"` - Utiliza la función hash `SHA-256`. - Requiere que featureCompatibilityVersion esté establecido en `4.0`. - Requiere que digestPassword sea `true`.
`digestPassword`	booleano	Opcional. Indica si el servidor o el cliente procesa la contraseña. Si es `true` (predeterminado), el servidor recibe una contraseña no digerida del cliente y la digiere. Si `false`, el cliente digiere la contraseña y transmite la contraseña digerida al servidor. No compatible con `SCRAM-SHA-256`
`comment`	any	Opcional. Un comentario proporcionado por el usuario para adjuntar a este comando. Una vez configurado, este comentario aparece junto a los registros de este comando en las siguientes ubicaciones: Mensajes de registro de mongod, en el campo `attr.command.cursor.comment`. Salida del perfilador de base de datos, en el campo `command.comment`. `currentOp` de salida, en el campo `command.comment`. Un comentario puede ser de cualquier tipo BSON válido (string, objeto, arreglo, etc.).

Roles

En el campo roles, puede especificar tanto roles de funcionalidad incorporada como roles definidos por el usuario.

Para especificar un rol que existe en la misma base de datos donde se ejecuta updateUser, puedes especificar el rol utilizando el nombre del rol:

"readWrite"

O puede especificar el rol con un documento, como en:

{ role: "<role>", db: "<database>" }

Para especificar un rol que existe en una base de datos diferente, especifique el rol mediante un documento.

Restricciones de autenticación

Nuevo en la versión 3.6.

El documento authenticationRestrictions solo puede contener los campos siguientes. El servidor genera un error si el documento authenticationRestrictions contiene un campo no reconocido:

Nombre de campo	Valor	Descripción
`clientSource`	Arreglo de direcciones IP y/o rangos CIDR	Si está presente, al autenticar a un usuario, el servidor verifica que la dirección IP del cliente esté en la lista proporcionada o que pertenezca a un rango CIDR de la lista. Si la dirección IP del cliente no está presente, el servidor no autentica al usuario.
`serverAddress`	Arreglo de direcciones IP y/o rangos CIDR	Una lista de direcciones IP o rangos CIDR a los que el cliente puede conectarse. Si está presente, el servidor verificará que la conexión del cliente haya sido aceptada mediante una dirección IP de la lista proporcionada. Si la conexión fue aceptada desde una dirección IP no reconocida, el servidor no autentica al usuario.

Importante

Si un usuario hereda múltiples roles con restricciones de autenticación incompatibles, ese usuario se vuelve inutilizable.

Por ejemplo, si un usuario hereda un rol en el que el campo clientSource es ["198.51.100.0"] y otro rol en el que el campo clientSource es ["203.0.113.0"], el servidor no puede autenticar al usuario.

Para obtener más información sobre la autenticación en MongoDB,consulte Autenticación.

Comportamiento

Advertencia

De forma predeterminada, updateUser envía todos los datos especificados a la instancia de MongoDB en texto sin cifrar, incluso si passwordPrompt() se usa. Utilice el cifrado de transporte TLS para proteger las comunicaciones entre los clientes y el servidor, incluida la contraseña enviada updateUser por. Para obtener instrucciones sobre cómo habilitar el cifrado de transporte TLS, consulte Configurar mongod y mongos para TLS/SSL.

MongoDB no almacena la contraseña en texto sin formato. La contraseña es vulnerable solo durante el tránsito entre el cliente y el servidor, y únicamente si el cifrado de transporte TLS no está activado.

Acceso requerido

Debe tener acceso que incluya la revokeRole acción en todas las bases de datos para poder actualizar la matriz roles de un usuario.

Debe tener la grantRole acción en la base de datos de un rol para agregar un rol a un usuario.

Para cambiar el campo pwd o de otro customData usuario, debe tener las changePassword acciones changeCustomData y respectivamente en la base de datos de ese usuario.

Para modificar su propia contraseña y datos personalizados, debe tener privilegios que otorguen changeOwnPassword y changeOwnCustomData acciones respectivamente en la base de datos del usuario.

Ejemplo

Dado un usuario appClient01 en la base de datos products con la siguiente información de usuario:

{
   "_id" : "products.appClient01",
   "userId" : UUID("c5d88855-3f1e-46cb-9c8b-269bef957986"),
   "user" : "appClient01",
   "db" : "products",
   "customData" : { "empID" : "12345", "badge" : "9156" },
   "roles" : [
       { "role" : "readWrite",
         "db" : "products"
       },
       { "role" : "read",
         "db" : "inventory"
       }
   ],
   "mechanisms" : [
      "SCRAM-SHA-1",
      "SCRAM-SHA-256"
   ]
}

El siguiente updateUser comando reemplaza completamente customData los roles datos y del usuario:

use products
db.runCommand( {
   updateUser : "appClient01",
   customData : { employeeId : "0x3039" },
   roles : [ { role : "read", db : "assets" } ]
} )

El usuario appClient01 en la base de datos products ahora tiene la siguiente información de usuario:

{
   "_id" : "products.appClient01",
   "userId" : UUID("c5d88855-3f1e-46cb-9c8b-269bef957986"),
   "user" : "appClient01",
   "db" : "products",
   "customData" : { "employeeId" : "0x3039" },
   "roles" : [
       { "role" : "read",
         "db" : "assets"
       }
   ],
   "mechanisms" : [
      "SCRAM-SHA-1",
      "SCRAM-SHA-256"
   ]
}

Volver

revocarRolesDeUsuario

Información de usuarios